Inleiding
Dit document beschrijft veelvoorkomende problemen met tijdsynchronisatie op FireSIGHT-systemen en hoe u deze kunt oplossen.
Voorwaarden
Vereisten
Als u de tijdsynchronisatie-instelling wilt configureren, hebt u toegang op beheerdersniveau nodig in uw FireSIGHT-beheercentrum.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
U kunt ervoor kiezen om de tijd tussen uw FireSIGHT-systemen op drie verschillende manieren te synchroniseren, zoals handmatig met externe Network Time Protocol (NTP)-servers of met FireSIGHT Management Center dat als een NTP-server fungeert. U kunt een FireSIGHT Management Center configureren als een tijdserver met NTP en deze vervolgens gebruiken om de tijd tussen het FireSIGHT Management Center en beheerde apparaten te synchroniseren.
Symptomen
- FireSIGHT Management Center geeft gezondheidswaarschuwingen weer in de browserinterface.

- Op de pagina Gezondheidsmonitor wordt een toestel als kritisch weergegeven, omdat de status van de tijdsynchronisatiemodule niet synchroon loopt.

- U kunt intermitterende gezondheidswaarschuwingen zien als de apparaten niet gesynchroniseerd blijven.
- Nadat een systeembeleid is toegepast, kunt u gezondheidswaarschuwingen zien, omdat het tot 20 minuten kan duren voordat een FireSIGHT-beheercentrum en de beheerde apparaten zijn gesynchroniseerd. Dit komt omdat een FireSIGHT Management Center eerst moet synchroniseren met de geconfigureerde NTP-server voordat het tijd kan besteden aan een beheerd apparaat.
- De tijd tussen een FireSIGHT Management Center en een beheerd apparaat komt niet overeen.
- Gebeurtenissen die op de sensor worden gegenereerd, kunnen minuten of uren duren voordat ze zichtbaar worden op een FireSIGHT Management Center.
- Als u virtuele toestellen uitvoert en de pagina Gezondheidscontrole aangeeft dat de klokinstelling voor uw virtuele toestel niet is gesynchroniseerd, controleert u de synchronisatie-instellingen van het systeembeleid. Cisco raadt u aan uw virtuele apparaten te synchroniseren met een fysieke NTP-server. Synchroniseer uw beheerde apparaten (virtueel of fysiek) niet met een virtueel defensiecentrum.
Problemen oplossen
Stap 1: NTP-configuratie controleren
Hoe te controleren in Versies 5.4 en eerder
Controleer of NTP is ingeschakeld op het systeembeleid dat wordt toegepast op de FireSIGHT-systemen. Voer de volgende stappen uit om dit te controleren:
- Kies Systeem > Lokaal > Systeembeleid.
- Bewerk het systeembeleid dat op uw FireSIGHT-systemen wordt toegepast.
- Kies voor tijdsynchronisatie.
Controleer of het FireSIGHT Management Center (ook bekend als Defence Center of DC) de klok heeft ingesteld op Via NTP van en een adres van een NTP-server is opgegeven. Bevestig ook dat het beheerde apparaat is ingesteld op via NTP van Defence Center.
Als u een externe NTP-server opgeeft, moet uw toestel toegang hebben tot het netwerk. Geef geen niet-vertrouwde NTP-server op. Synchroniseer uw beheerde apparaten (virtueel of fysiek) niet met een Virtual FireSIGHT Management Center. Cisco raadt u aan uw virtuele apparaten te synchroniseren met een fysieke NTP-server.

Hoe te controleren in Versies 6.0 en later
In versie 6.0.0 en hoger worden de instellingen voor tijdsynchronisatie op afzonderlijke plaatsen in het Firepower Management Center geconfigureerd, hoewel ze dezelfde logica volgen als de stappen voor 5.4.
De instellingen voor tijdsynchronisatie voor het Firepower Management Center zelf vindt u onder Systeem > Configuratie > Tijdsynchronisatie.
De instellingen voor tijdsynchronisatie voor de beheerde apparaten vindt u onder Apparaten > Platforminstellingen. Klik op Bewerken naast het beleid Platforminstellingen dat op het apparaat is toegepast en kies vervolgens Tijdsynchronisatie.
Nadat u de configuratie voor tijdsynchronisatie hebt toegepast (ongeacht de versie), moet u ervoor zorgen dat de tijd op uw beheercentrum en beheerde apparaten overeenkomt. Anders kunnen onbedoelde gevolgen optreden wanneer de beheerde apparaten communiceren met het Management Center.
Stap 2: Identificeer een Timeserver en zijn status
- Om informatie te verzamelen over de verbinding met een tijdserver, voert u deze opdracht in op uw FireSIGHT Management Center:
admin@FireSIGHT:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
*198.51.100.2 203.0.113.3 2 u 417 1024 377 76.814 3.458 1.992
Een asterisk '*' onder de afstandsbediening geeft de server aan waarop u momenteel bent gesynchroniseerd. Als een item met een sterretje niet beschikbaar is, wordt de klok momenteel niet gesynchroniseerd met de tijdbron.
Op een beheerd apparaat kunt u deze opdracht op shell invoeren om het adres van uw NTP-server te bepalen:
> show ntp
NTP Server : 127.0.0.2 (Cannot Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds)
Opmerking: Als een beheerd apparaat is geconfigureerd om tijd te ontvangen van een FireSIGHT-beheercentrum, toont het apparaat een tijdbron met loopback-adres, zoals 127.0.0.2. Dit IP-adres is een sfipproxy-vermelding en geeft aan dat het virtuele beheernetwerk wordt gebruikt om de tijd te synchroniseren.
- Als een toestel aangeeft dat het synchroniseert met 127.127.1.1, geeft dit aan dat het toestel synchroniseert met zijn eigen klok. Het treedt op wanneer een timeserver die is geconfigureerd op een systeembeleid niet synchroniseerbaar is. Voorbeeld:
admin@FirePOWER:~$ ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
192.0.2.200 .INIT. 16 u - 1024 0 0.000 0.000 0.000
*127.127.1.1 .SFCL. 14 l 3 64 377 0.000 0.000 0.001
- Als u bij de opdrachtuitvoer ntpq opmerkt dat de waarde van st (stratum) 16 is, geeft dit aan dat de timeserver onbereikbaar is en dat het toestel niet kan synchroniseren met die timeserver.
- Op de ntpq-opdrachtuitvoer toont bereik een octaal getal dat aangeeft dat de bron voor de meest recente acht peilingpogingen is bereikt of niet is bereikt. Als je ziet dat de waarde 377 is, betekent dit dat de laatste 8 pogingen succesvol waren. Andere waarden kunnen erop wijzen dat een of meer van de laatste acht pogingen niet succesvol waren.
Stap 3: Connectiviteit verifiëren
- Controleer de basisconnectiviteit met de tijdserver.
admin@FireSIGHT:~$ ping
- Zorg ervoor dat poort 123 is geopend op uw FireSIGHT-systeem.
admin@FireSIGHT:~$ netstat -an | grep 123
- Controleer of poort 123 is geopend op de firewall.
- Controleer de hardwareklok:
admin@FireSIGHT:~$ sudo hwclock
Als de hardwareklok te ver achterhaald is, kunnen ze nooit met succes synchroniseren. Voer deze opdracht in om de klok handmatig met een tijdserver in te stellen:
admin@FireSIGHT:~$ sudo ntpdate -u
Start vervolgens opnieuwntpd
op:
admin@FireSIGHT:~$ sudo pmtool restartbyid ntpd
Stap 4: Configuratiebestanden verifiëren
- Controleer of het bestand sfipproxy.conf correct is ingevuld. Dit bestand stuurt NTP-verkeer over de sftunnel.
Een voorbeeld van het bestand /etc/sf/sfipproxy.conf op een beheerd apparaat wordt hier weergegeven:
admin@FirePOWER:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
dbef067c-4d5b-11e4-a08b-b3f170684648
{
services
{
ntp
{
listen_ip 127.0.0.2;
listen_port 123;
protocol udp;
timeout 20;
}
}
}
}
Een voorbeeld van het bestand /etc/sf/sfipproxy.conf op een FireSIGHT Management Center wordt hier weergegeven:
admin@FireSIGHT:~$ sudo cat /etc/sf/sfipproxy.conf
config
{
nodaemon 1;
}
peers
{
854178f4-4eec-11e4-99ed-8b16d263763e
{
services
{
ntp
{
protocol udp;
server_ip 127.0.0.1;
server_port 123;
timeout 10;
}
}
}
}
- Zorg ervoor dat de Universally Unique Identifier (UUID) onder de sectie peers overeenkomt met het ims.conf-bestand en de peer. Zo moet de UUID die onder de sectie peers van het /etc/sf/sfipproxy.conf-bestand in een FireSIGHT Management Center wordt gevonden, overeenkomen met de UUID die in het /etc/ims.conf-bestand van het beheerde apparaat wordt gevonden. Evenzo moet de UUID die onder de sectie peers van het /etc/sf/sfipproxy.conf-bestand op een beheerd apparaat wordt gevonden, overeenkomen met de UUID die in het /etc/ims.conf-bestand van het beheerapparaat is gevonden.
U kunt de UUID van de apparaten ophalen met deze opdracht:
admin@FireSIGHT:~$ sudo grep UUID /etc/sf/ims.conf
APPLIANCE_UUID=dbef067c-4d5b-11e4-a08b-b3f170684648
Deze moeten normaal gesproken automatisch worden ingevuld door het systeembeleid, maar er zijn gevallen geweest waarin deze strofen verloren gingen. Als ze moeten worden gewijzigd of gewijzigd, moet u sfipproxy en sftunnel opnieuw starten zoals in dit voorbeeld te zien is:
admin@FireSIGHT:~$ sudo pmtool restartbyid sfipproxy
admin@FireSIGHT:~$ sudo pmtool restartbyid sftunnel
- Controleer of er een ntp.conf-bestand beschikbaar is in de directory /etc.
admin@FireSIGHT:~$ ls /etc/ntp.conf*
Als een NTP-configuratiebestand niet beschikbaar is, kunt u een kopie maken van het back-upconfiguratiebestand. Voorbeeld:
admin@FireSIGHT:~$ sudo cp /etc/ntp.conf.bak /etc/ntp.conf
- Controleer of het bestand /etc/ntp.conf correct is ingevuld. Wanneer u een systeembeleid toepast, wordt het bestand ntp.conf herschreven.
Opmerking: De uitvoer van een ntp.conf-bestand toont de instellingen van de timeserver die zijn geconfigureerd in een systeembeleid. De tijdstempelvermelding moet het tijdstip weergeven waarop het laatste systeembeleid op een apparaat is toegepast. Het serveritem moet het opgegeven timeserveradres weergeven.
admin@FireSIGHT:~$ sudo cat /etc/ntp.conf
# automatically generated by /etc/sysconfig/configure-network ; do not edit
# Tue Oct 21 17:44:03 UTC 2014
restrict default noquery nomodify notrap nopeer
restrict 127.0.0.1
server 198.51.100.2
logfile /var/log/ntp.log
driftfile /etc/ntp.drift
Controleer NTP-versies op twee apparaten en zorg ervoor dat het hetzelfde is.
Voor meer informatie over de basisprincipes van NTP, raadpleegt u Best practices voor netwerktijdprotocol gebruiken.